OVH Community, votre nouvel espace communautaire.

Postfix / Question stupide


snooper
30/01/2017, 09h23
Génial merci !

bbr
30/01/2017, 06h52
Bien entendu j'ai un hostname en .eu comme pour tous les serveurs ovh
il ne faut justement jamais utiliser ce nom

Nowwhat
30/01/2017, 05h40
Bonjour,

Il te faut :
Un IPv4 (et IPv6 si t'es fan) par hostname (domaine). Commande donc des IPv4FO - env 3 € pièce..
En suite : il faut que le reverse de chaque IP (v4 et v6) colle avec le MX de chaque domaine.
Après, avec par exemple letenscrypt, il est simple de créer un certificat avec 'aliases' comme : ton-domaine.tld, www.ton-domaine.tld, mail.ton-domaine.tld, pop.ton-domaine.tld, smtp.ton-domaine.tld etc etc, dont par exemple "mail.ton-domaine.tld" est ton MX.

Pour que postfix utilise le bon IPv4 (ou Ipv6) pour les mails sortent, il faut utiliser "sender_dependent_default_transport_maps" dans main.cf plus paramétrage dans master.cf.

L'idée de "sender_dependent_default_transport_maps" est :
Par domaine tu pourrait choisir tes paramètre d'envoi dans le "master.cf":

Code:
# ------------------------------------------------------------------------------
#
# Transport IP mapping:
#

mon_domaine_1  unix  -       -       n       -       -       smtp
   -o smtp_bind_address6=2001:aa:2:bb::2
   -o smtp_bind_address=46.105.xx.yy
   -o smtp_helo_name=mail.mon_domaine1.tld
   -o syslog_name=mon-dmaine-transport
   -o myhostname=mail.mon_domaine1.tld
   -o smtp_tls_cert_file=/etc/postfix/ssl/mon_domaine1/mail.mon_domaine1.pem
   -o smtp_tls_key_file=/etc/postfix/ssl/mon_domaine1/mail.mon_domaine1.pem
Pour info : "mail.mon_domaine1.pem" est le concat de
Clé privé, (pem) certificat (pem) et fullchain (pem)
dans un même fichier.

T'as vu "mon_domaine_1" ? C'est "sender_dependent_default_transport_maps" qui va utiliser le nom de domaine pour un mail sortent - avec l'aide d'un table, qui va te rendre "mon_domaine_1". Ce "mon_domaine_1", postfix va le trouver dans le master.cf.

Du coup : mails entrant : test avec : https://www.checktls.com/ - tout doit être "Ok".
Mails sortent : test avec https://www.checktls.com/perl/TestSender.pl

Exemple pendant le test "mail sender" (sortent) :
Jan 30 07:25:19 ns311465 mon-dmaine-transport/smtp[2560]: Trusted TLS connection established to ts4.checktls.com[216.68.85.113]:25: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Et la réponse pour dire que tout est ok :
Jan 30 07:25:21 ns311465 mon-domaine-smtp-client-ipv4/smtpd[1729]: Trusted TLS connection established from www4.checktls.com[216.68.85.112]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

PS : n'utilise JAMAIS le IPv4 qui a été livré avec ton serveur. Garde le pour toi - pour l'accès SSH et autre tâches administratives.
Tes sites - mails, etc, loge les tous sur des IPFO v4 et des IPv6.

snooper
29/01/2017, 21h16
Bonjour !

Question stupide pour les experts..
Serveur sous CentOS 7.3.1611, Postfix 2.10.1

Bien entendu j'ai un hostname en .eu comme pour tous les serveurs ovh. Si je comprends bien, l'instance postfix qui tourne est attachée à ce hostname. Je peux utiliser un certificat valide pour le hostname afin d'activer SSL pour les échanges MX.

Mais si j'ai deux autres domaines sur le même serveur, comment puis-je attacher deux autres certificats afin de ne pas obtenir l'erreur "hostname missmatch" qui prévient en réalité que les domaines utilisent un certificat qui n'est valide que pour le hostname ?

Merci pour votre aide, ce doit être simple mais je ne vois pas, et j'ai cherché pas mal sur le net et c'est pas net.

.snoop